REMnux היא הפצה מבוססת אובונטו קוד פתוח של לינוקס שתוכננה במיוחד עבור אנליסטים תוכנות זדוניות שמחפשים מערכת הפעלה אלטרנטיבה חופשית ל- Microsoft Windows, כדי להם תוכנות זדוניות-הנדסה הפוכה.
תכונות במבט חטוף
תכונות עיקריות כוללות את היכולת לבחון תוכנות זדוניות דפדפן האינטרנט, ניהול אינטראקציות רשת, חפצים לפענח ותמצית, לבחון את קבצים של מסמך, לחקור תוכנות זדוניות לינוקס, אופן סטטי לבחון את קבצי PE, לבחון את מאפייני קובץ ותוכן, דוגמאות רבות תהליך, לבחון תצלומי זיכרון , כמו גם לערוך ולהציג מגוון רחב של קבצים.
יחולק כDVD חי וארכיון מכשיר וירטואלי
מערכת ההפעלה ניתן להוריד כתמונה בשידור חי יחידה ISO DVD שתומכת בשתי פלטפורמות החומרה של 32 סיביות ושל 64 סיביות וחייבים להיות כתובה על תקליטורי DVD או כונני הבזק מסוג USB של 2GB או קיבולת גבוהה יותר על מנת לאתחל אותו מ BIOS של מחשב, כמו גם ארכיון מכשיר וירטואלי (OVA) לתוכנת הווירטואליזציה VirtualBox ו- VMware.
הוא כולל מנהל אתחול סטנדרטי שניתן למצוא במגוון רחב של הפצות הלינוקס המבוססות על אובונטו, המאפשר למשתמש להפעיל את סביבת חיים עם אפשרויות ברירת מחדל או במצב גרפיקה בטוח על ידי לאלץ את framebuffer VESA, לבצע זיכרון מערכת מבחן (RAM), ולאתחל את מערכת הפעלה קיימות מהדיסק הראשון.
סביבת שולחן עבודה מינימאלית, מהירה ויעילה מופעל על ידי LXDE
כברירת מחדל, Live CD הוא מהונדס כדי לפתוח מסוף אמולטור מהתחלה. היא משתמשת במשקל קל X11 סביבת שולחן העבודה (LXDE) עם יצירות אמנות כהות ופאנל אחד ממוקם בקצה התחתון של המסך, מהמקום שבו המשתמש יכול לגשת ליישומים או אינטראקציה עם תוכניות ריצה.
בין היישומים המותקנים מראש, אנחנו יכולים לדבר על עורך SciTE טקסט, עורך hex wxHexEditor, סורק רשת Wireshark, כלי מיפוי מוח XMind, דפדפן מסד נתוני SQLite, דפדפן האינטרנט Mozilla Firefox, ונגן המוזיקה LXMusic.
שורה תחתונה
לסיכום, REMnux היא בהחלט לא הפצת לינוקס למשתמש הרגיל. היא מבוססת על גרסה ישנה יותר, שאינה נתמכת של אובונטו (11.10 - Ocelot החלומי)., אך מספקת אוסף מסודר של תכונות שימושיות אחרות שיעזרו לי אנליסטים תוכנות זדוניות לפעולות של הנדסת תוכנה זדונית
מה חדש בהודעה זו:
- אני מתרגש להודיע על שחרורו V6 של הפצת REMnux, אשר מסייעת אנליסטים לבחון תוכנות זדוניות באמצעות שירות חינם ב סביבת לינוקס. V6 REMnux מעדכן את הכלים שהיו קיימים בגרסות הקודמות של ההפצה ומציג כמה חדש. יתר על כן, הוא מיישם שינויים ארכיטקטוניים גדולים מאחורי הקלעים כדי לאפשר למשתמשי REMnux להחיל עדכונים עתידיים בקלות מבלי להוריד את סביבת REMnux המלאה מהתחלה.
- קבל V6 REMnux:
- הדרך הפשוטה כדי לקבל את הפצת REMnux האחרונה היא להוריד קובץ OVA המכשיר הווירטואלי שלה, ואז לייבא אותו ליישום וירטואליזציה האהוב עליך, כגון VMware Workstation וVirtualBox. לאחר הפעלת המכונה הווירטואלית המיובא, הפעל את & quot; עדכון-remnux מלא & quot; הפקודה כדי לעדכן את התוכנה שלה. לקבלת הוראות מפורטות, עיין בהוראות התקנת REMnux.
- לחלופין, תוכל להוסיף את הפצת REMnux למערכת פיזית או וירטואלית קיימות שפועלת בגרסה תואמת של אובונטו, כולל לנפות Workstation. אתה יכול להשיג את זה על ידי הפעלת סקריפט התקנת REMnux כמוסבר בתיעוד.
- לאחר התקנת V6 REMnux, תוכל לקבל עדכונים על-ידי הפעלה & quot; העדכון-remnux & quot; הפקודה. עקוב REMnux החשבונות בטוויטר, פייסבוק וגוגל פלוס לקבל הודעות כאשר חבילות ניתוח התוכנות הזדוניות שלה מתעדכנות, או כאשר חדשים מתווספים לארגז הכלים.
- כלים נוסף לV6 REMnux:
- V6 REMnux כולל את הכלים הבאים שלא היה חלק מההפצה במהדורות קודמות.
- pedump, readpe.py: סטטי לבחון את המאפיינים של קובץ Windows PE
- : אינטראקציה עם מסד נתוני VirusTotal משורת הפקודה
- Nginx: שרת אינטרנט, המחליף HTTPD זעירה שהייתה נוכח בREMnux קודם
- VolDiff: השוואה בין תמונות לזיהוי פלילי זיכרון לזהות שינויים באמצעות התנודתיות
- כלל עורך: עריכת IOC Yara, Snort וכללי OpenIOC, החלפת מבשרה Yara עורך
- Rekall: כלי לזיהוי פלילי זיכרון ומסגרת
- m2elf: צור קובץ בינארי ELF מתוך shellcode
- Yara כללים: חתימות לאיתור מאפיינים זדוניים בקבצים
- OfficeDissector מסטיף תוספים: בדוק קבצים מבוססי XML של Microsoft Office באמצעות מסטיף
- דוקר: יישומים לרוץ מכולות מבודדות על המארח המקומי
- AndroGuard: ניתוח יישומי Android חשודים
- vtTool: קביעת שם משפחת התוכנות הזדוניות של הדגימה על ידי שאילתות VirusTotal
- oletools, libolecf: ניתוח קבצי ole2 של Microsoft Office
- tcpflow: בדוק את תעבורת רשת ולגלף קבצי לכידת PCAP
- passive.py: חיפושי DNS פסיביים לבצע באמצעות ספריית pdns
- CapTipper: בדוק את תעבורת רשת ולגלף קבצי לכידת PCAP
- oledump: לבחון את הקבצים של Microsoft Office חשודים
- CFR: הידור קבצי ג'אווה ברמה חשוד
- עדכון-remnux: עדכן את ההפצה, שדרוג התוכנה שלה והתקנת כלים מוספים חדש
- סופר הוועד האולימפי הבינלאומי: ספריית פייתון ליצירה ועריכת אובייקטי OpenIOC
- Cybox: ספריית פייתון עבור ניתוח, מניפולציה, ותוכן CybOX יצירה
- diStorm3, אבן הראשה: ספריות פייתון לפירוק קבצים בינאריים
- pylibemu: ספריית פייתון לגישה פונקציונלי הדמיית shellcode libemu
- ספריית Yara: ספריית פייתון לזהות ולסווג דגימות תוכנות זדוניות
- olefile: ספריית פייתון לקרוא / לכתוב קבצי ole2 של Microsoft Office
- PyV8: ספריית עטיפת פייתון עבור מנוע V8 JavaScript
- pyssdeep: ספריית עטיפת פייתון לכלי hashing המטושטש ssdeep
- pyexiftool: ספריית עטיפת פייתון לExifTool
- OfficeDissector: ספריית פייתון לקבצים מבוסס XML של Microsoft Office חשודים
- pdns: ספריית פייתון לביצוע חיפושי DNS פסיביים
- Javassist: ספריית ג'אווה המסייע בבחינת bytecode Java
- לקבלת רשימה של שירותי ניתוח התוכנות הזדוניות נגיש בREMnux, ראה אתר התיעוד שלה, הכולל גיליון אלקטרוני ומפת נפש של הכלים ומציע כמה טיפים לשימוש.
- אדריכלות REMnux עודכנה:
- מטרה עיקרית של שחרור V6 של REMnux, מעבר לשדרוג והרחבת סט הכלי, היא מודרניזציה הבסיס של ההפצה תוך שמירה על המראה המוכר ולהרגיש. אנשים שמכירים את הגרסאות הקודמות REMnux אמורים להיות מסוגלים להשתמש בסביבה מבלי לשנות את ההרגלים שלהם. והכי חשוב, המשתמשים V6 REMnux יכולים לקבל עדכונים עתידיים להפצה באמצעות & quot; העדכון-remnux & quot; תסריט מבלי להוריד מכונה וירטואלית חדשה לגמרי לבצע שדרוגים.
- כדי להשיג יעדים אלה, V6 REMnux מבוסס על אובונטו 14.04 64 סיביות. זה מערכת הפעלה פופולרית ויציבה שתהיה סביב לזמן, כי זה שחרור תמיכה לטווח ארוך (LTS). כמו כן, REMnux עכשיו מסתמך במידה רבה על חבילות דביאן מתארחות במאגר שלה כדי להקל על עדכונים נוחים.
- כתוצאה מכך, ניתן להתקין על כל מערכת REMnux חדשה או קיימת פועלת אובונטו 14.04 64 סיביות, ללא קשר אם זה מכונה פיזית או וירטואלית. גרסה זו נועדה להיות תואם עם לנפות Workstation, כך שאנשים יוכלו להתקין את שני ההפצות על אותה המערכת, אם ברצונם.
VirusTotal כלים
REMnux V6 כולל גם את הספריות הבאות, שמפתחי תוכנה יכולים להשתמש לבניית כלים חדשים תוכנות זדוניות ניתוח ומשימות.
מה חדש בגרסה 5.0:
- עדכוני מפתח לכלים קיימים ורכיבים:
- מערכת ליבה: משודרג רכיבי בסיס אובונטו מערכת ההפעלה וחבילות; זיכרון RAM ברירת מחדל המוגבר של המכשיר הווירטואלי ל512MB; החליף OpenJDK עם ריצת אורקל Java 7.
- ניתוח זיכרון:. התנודתיות עדכון לגרסה 2.2
- ניתוח PDF: pdfid עדכון וpdf-מנתח, אוריגמי, peepdf
- אינטרנט ניתוח: SWFTools עדכון, V8, libemu, NetworkMiner, הגיהוק פרוקסי, Wireshark, פיירפוקס וההרחבות שלה .
- שינויים אחרים: xorsearch עדכון, DensityScout, Pyew, פסיבי-DNS, ClamAV, capabilities.yara; החליף מחשבה חופשיה עם XMind
- כלים חדשים שנוספו לREMnux:
- Windows: יין מותקן; נוסף OfficeMalScanner, Malzilla
- ניתוח XOR: נוסף NoMoreXOR, brutexor, XORBruteForcer
- ניתוח קובץ PE: PEV נוסף, DISM-זה, ExeScan, udis86 (udcli), autorule (/ usr / local / autorule), distool
- ניתוח קובץ אחר: extract_swf.py נוסף, ExifTool, מסטיף
- תוספות אחרות: גרזן-פונקציות נוסף (/ usr / / גרזן-פונקציות מקומיות), bulk_extractor, ProcDot
- REMnux נבנה מחדש להיות מבוססים על אובונטו 11.10 לשפר:
- סביבת שולחן העבודה על REMnux כבר היגר לשימוש LXDE לשימושיות משופרת, תוך שמירה על הטבע קל של ההפצה.
- כלי ניתוח התוכנות הזדוניות הזמינים בגרסה הקודמת של REMnux שודרגו לגרסאות היציבה העדכנית ביותר כדי לספק תכונות ושיפורים האחרונות. העדכונים המשמעותיים ביותר כוללים:
- מסגרת התנודתיות 2.0 לזיהוי פלילי זיכרון עם מודולים תוכנות זדוניות וtimeliner האחרונים
- אוריגמי מסגרת 1.2.3 לניתוח PDF, כולל pdfcop, pdfextract, pdfwalker, pdfsh, וכו '.
- REMnux כולל מספר כלים תוכנות זדוניות ניתוח שלא היו נוכחים בגרסאות מוקדמות יותר של ההפצה, כוללים:
- ניתוח רשת: NetworkMiner, ngrep, pdnstool
- ניתוח PDF: PDF X-Ray לייט (pdfxray_lite וswf_mastah), peepdf
- ניתוח JavaScript: מנוע Chrome JavaScript (D8), JS-לייפות
- בחינת קבצים: Hachoir (hachoir-subfile, hachoir-מטה, hachoir-urwid), pyew, densityscout, findaes
- אחר: JD-GUI, xxxswf.py, מחשבה חופשיה, xpdf, xortool
כלים
תחזוקה
מה חדשה בגרסה 3.0 , תוך שמירה על תאימות לאחור בכל מקום מעשי.
תגובות לא נמצא